요약 사전 조건 및 제한 사항 아키텍처 도구 에픽 문제 해결 관련 리소스

AWS 멤버 계정을에서 AWS Organizations 로 마이그레이션 AWS Control Tower

Rodolfo Jr. Cerrada, Amazon Web Services

요약

이 패턴은를 마이그레이션하는 방법 AWS 계정 AWS Organizations, 관리 계정에서 관리하는 멤버 계정인를 마이그레이션하는 방법을 설명합니다 AWS Control Tower. 에 계정을 등록하면 계정 거버넌스를 간소화하는 예방 및 탐지 제어와 기능을 활용할 AWS Control Tower수 있습니다. AWS Organizations 관리 계정이 손상된 경우 멤버 계정을 마이그레이션하고 멤버 계정을 관리되는 새 조직으로 이전할 수도 있습니다 AWS Control TowerAWS Control Tower.

AWS Control Tower 는 여러 다른의 기능을 결합 및 통합하는 프레임워크를 제공하며 AWS 서비스, 다중 계정 환경에서 일관된 규정 준수 및 거버넌스를 AWS Organizations보장합니다. 를 사용하면의 기능을 확장하는 일련의 규정된 규칙 및 정의를 따를 AWS Control Tower수 있습니다 AWS Organizations. 예를 들어 제어를 사용하여 보안 로그와 필요한 교차 계정 액세스 권한이 생성되고 변경되지 않도록 할 수 있습니다.

사전 조건 및 제한 사항

사전 조건

활성 AWS 계정
AWS Control Tower 의 대상 조직에서 설정 AWS Organizations (지침은 AWS Control Tower 설명서의 설정 참조)
에 대한 관리자 자격 증명 AWS Control Tower (AWSControlTowerAdmins 그룹의 멤버)
소스에 대한 관리자 자격 증명 AWS 계정

제한 사항

의 소스 관리 계정은의 대상 관리 계정과 달라야 AWS Organizations 합니다 AWS Control Tower.

제품 버전

AWS Control Tower 버전 2.3(2020년 2월) 이상(릴리스 정보 참조)

아키텍처

다음 그림은 마이그레이션 프로세스와 참조 아키텍처를 보여 줍니다. 이 패턴은 AWS 계정 를 소스 조직에서 관리 대상 조직으로 마이그레이션합니다 AWS Control Tower.

다른 조직으로 마이그레이션되고 등록된 OU로 이동된 AWS 계정에 대한 AWS Control Tower 등록 프로세스.

등록 프로세스는 세 단계로 구성됩니다.

대상 조직은 해당 계정이 조직에 가입하도록 초대장을 보냅니다.
계정이 초대를 수락하고 대상 조직의 멤버가 됩니다.
계정이에 등록 AWS Control Tower 되고 등록된 조직 단위(OU)로 이동합니다. (대시 AWS Control Tower 보드를 확인하여 등록을 확인하는 것이 좋습니다.) 이때 등록된 OU에서 활성화된 모든 제어가 적용됩니다.

도구

서비스

AWS Organizations는 여러을 생성하여 중앙에서 관리하는 단일 엔터티(조직) AWS 계정 로 통합할 수 있는 계정 관리 서비스입니다.
AWS Control Tower는 AWS Organizations AWS IAM Identity Center및를 포함한 다른 서비스의 기능을 통합하여의 모든 조직 및 계정에서 보안, 운영 및 규정 준수에 대한 거버넌스 규칙을 대규모로 적용하고 관리할 수 있도록 AWS Service Catalog지원합니다 AWS 클라우드.

에픽

작업	설명	필요한 기술
에 로그인합니다 AWS Control Tower.	AWS Control Tower 콘솔에 관리자로 로그인합니다. 현재를 소스 조직에서 관리 AWS 계정 되는 OU의 조직으로 이동하는 직접적인 방법은 없습니다 AWS Control Tower. 그러나 이미 관리되는 OU에 등록할 AWS 계정 때 기존 로 AWS Control Tower 거버넌스를 확장할 수 있습니다 AWS Control Tower. 따라서이 단계를 위해 AWS Control Tower 에 로그인해야 합니다.	AWS Control Tower 관리자
멤버 계정을 초대합니다.	AWS Organizations 콘솔에 로그인하고 AWS 계정 페이지로 이동합니다. 추가 AWS 계정 페이지에서 기존 초대를 AWS 계정 선택합니다. 12자리 계정 번호(대시 제외)와 선택 사항으로 설명 및 태그를 포함한 계정 정보를 작성한 다음 초대 보내기를 선택합니다. 중요 계정 이전으로 인해 애플리케이션 또는 네트워크 연결이 영향을 받지 않는지 확인하십시오. 이 작업을 수행하면 멤버 계정 링크가 포함된 초대 이메일이 전송됩니다. 계정 관리자가 링크를 따라 초대를 수락하면 AWS 계정페이지에 멤버 계정이 나타납니다. 자세한 내용은 AWS Organizations 설명서의 계정 초대 관리를 참조하세요.	AWS Control Tower 관리자
애플리케이션 및 연결성을 테스트합니다.	멤버 계정이 새 조직에 등록되면 루트 내 OU에 표시됩니다. 또한 등록된 OU에 아직 등록되지 않았으므로 계정에 등록되지 않은 것으로 플래그가 AWS Control Tower 지정된 AWS Control Tower 콘솔에도 표시됩니다. 다음을 확인합니다. AWS Control Tower 대시보드에서 가드레일 위반이 있는지 확인합니다. 네트워크 연결(VPN 또는 AWS Direct Connect)을 확인하여 전송의 영향을 받지 않았는지 확인합니다. (애플리케이션 소유자) 이 계정과 연결된 애플리케이션을 테스트하여 예상대로 실행되는지, 계정 이전으로 인해 종속성이 영향을 받지 않았는지 확인합니다.	AWS Control Tower 관리자, 멤버 계정 관리자, 애플리케이션 소유자

작업

설명

필요한 기술

에 로그인합니다 AWS Control Tower.

AWS Control Tower 콘솔에 관리자로 로그인합니다.

현재를 소스 조직에서 관리 AWS 계정 되는 OU의 조직으로 이동하는 직접적인 방법은 없습니다 AWS Control Tower. 그러나 이미 관리되는 OU에 등록할 AWS 계정 때 기존 로 AWS Control Tower 거버넌스를 확장할 수 있습니다 AWS Control Tower. 따라서이 단계를 위해 AWS Control Tower 에 로그인해야 합니다.

AWS Control Tower 관리자

멤버 계정을 초대합니다.

AWS Organizations 콘솔에 로그인하고 AWS 계정 페이지로 이동합니다.
추가 AWS 계정 페이지에서 기존 초대를 AWS 계정 선택합니다.
12자리 계정 번호(대시 제외)와 선택 사항으로 설명 및 태그를 포함한 계정 정보를 작성한 다음 초대 보내기를 선택합니다.

중요

계정 이전으로 인해 애플리케이션 또는 네트워크 연결이 영향을 받지 않는지 확인하십시오.

이 작업을 수행하면 멤버 계정 링크가 포함된 초대 이메일이 전송됩니다. 계정 관리자가 링크를 따라 초대를 수락하면 AWS 계정페이지에 멤버 계정이 나타납니다. 자세한 내용은 AWS Organizations 설명서의 계정 초대 관리를 참조하세요.

AWS Control Tower 관리자

애플리케이션 및 연결성을 테스트합니다.

멤버 계정이 새 조직에 등록되면 루트 내 OU에 표시됩니다. 또한 등록된 OU에 아직 등록되지 않았으므로 계정에 등록되지 않은 것으로 플래그가 AWS Control Tower 지정된 AWS Control Tower 콘솔에도 표시됩니다.

다음을 확인합니다.

AWS Control Tower 대시보드에서 가드레일 위반이 있는지 확인합니다.
네트워크 연결(VPN 또는 AWS Direct Connect)을 확인하여 전송의 영향을 받지 않았는지 확인합니다.
(애플리케이션 소유자) 이 계정과 연결된 애플리케이션을 테스트하여 예상대로 실행되는지, 계정 이전으로 인해 종속성이 영향을 받지 않았는지 확인합니다.

AWS Control Tower 관리자, 멤버 계정 관리자, 애플리케이션 소유자

작업	설명	필요한 기술
제어를 검토하고 위반을 수정합니다.	대상 OU에 정의된 컨트롤, 특히 예방 컨트롤을 검토하고 위반을 수정합니다. AWS Control Tower 랜딩 존을 설정할 때 여러 가지 필수 예방 제어가 기본적으로 활성화됩니다. 비활성화할 수 없습니다. 계정을 등록하기 전에 이러한 필수 컨트롤을 검토하고 멤버 계정을 수정해야 합니다(수동으로 또는 스크립트를 사용하여). 참고 예방 제어는 AWS Control Tower 등록된 계정을 규정을 준수하고 정책 위반을 방지합니다. 예방 제어를 위반하면 등록에 영향을 미칠 수 있습니다. 탐지 제어 위반이 감지되면 등록 성공 후 AWS Control Tower 대시보드에 표시됩니다. 등록 프로세스에는 영향을 주지 않습니다. 자세한 내용은 AWS Control Tower 설명서의 제어 정보를 참조하세요.	AWS Control Tower 관리자, 멤버 계정 관리자
제어 위반을 수정한 후 연결 문제가 있는지 확인합니다.	경우에 따라 제어 위반을 해결하기 위해 특정 포트를 닫거나 서비스를 비활성화해야 할 수 있습니다. 계정을 등록하기 전에 해당 포트 및 서비스를 사용하는 애플리케이션을 수정해야 합니다.	애플리케이션 소유자

작업

설명

필요한 기술

제어를 검토하고 위반을 수정합니다.

대상 OU에 정의된 컨트롤, 특히 예방 컨트롤을 검토하고 위반을 수정합니다.

AWS Control Tower 랜딩 존을 설정할 때 여러 가지 필수 예방 제어가 기본적으로 활성화됩니다. 비활성화할 수 없습니다. 계정을 등록하기 전에 이러한 필수 컨트롤을 검토하고 멤버 계정을 수정해야 합니다(수동으로 또는 스크립트를 사용하여).

참고

예방 제어는 AWS Control Tower 등록된 계정을 규정을 준수하고 정책 위반을 방지합니다. 예방 제어를 위반하면 등록에 영향을 미칠 수 있습니다. 탐지 제어 위반이 감지되면 등록 성공 후 AWS Control Tower 대시보드에 표시됩니다. 등록 프로세스에는 영향을 주지 않습니다. 자세한 내용은 AWS Control Tower 설명서의 제어 정보를 참조하세요.

AWS Control Tower 관리자, 멤버 계정 관리자

제어 위반을 수정한 후 연결 문제가 있는지 확인합니다.

경우에 따라 제어 위반을 해결하기 위해 특정 포트를 닫거나 서비스를 비활성화해야 할 수 있습니다. 계정을 등록하기 전에 해당 포트 및 서비스를 사용하는 애플리케이션을 수정해야 합니다.

애플리케이션 소유자

작업	설명	필요한 기술
에 로그인합니다 AWS Control Tower.	AWS Control Tower 콘솔에 로그인합니다. 관리 권한이 있는 로그인 자격 증명을 사용합니다 AWS Control Tower. 루트 사용자(관리 계정) 자격 증명을 사용하여 AWS Organizations 계정을 등록하지 마십시오. 그러면 오류 메시지가 표시됩니다.	AWS Control Tower 관리자
계정을 등록하십시오.	의 Account Factory 페이지에서 계정 등록을 AWS Control Tower선택합니다. 등록하려는 계정과 연결된 이메일 주소, 표시될 표시 이름 AWS Control Tower, IAM Identity Center 이메일 주소, 계정 소유자의 이름과 성, 계정을 등록하려는 OU를 포함하여 세부 정보를 입력합니다. IAM Identity Center 이메일 주소는 선호하는 사용자 이메일 주소입니다. 계정 이메일과 동일한 이메일 주소를 사용할 수 있습니다. 계정 등록을 선택합니다. 자세한 내용은 AWS Control Tower 설명서의 기존 계정 등록 정보를 참조하세요.	AWS Control Tower 관리자

작업	설명	필요한 기술
계정을 확인하십시오.	에서 계정을 AWS Control Tower선택합니다. 방금 등록한 계정의 초기 상태는 등록 중입니다. 등록이 완료되면 상태가 등록됨으로 변경됩니다.	AWS Control Tower 관리자, 멤버 계정 관리자
제어 위반이 있는지 확인합니다.	OU에 정의된 제어는 등록된 멤버 계정에 자동으로 적용됩니다. AWS Control Tower 대시보드에서 위반을 모니터링하고 그에 따라 수정합니다. 자세한 내용은 AWS Control Tower 설명서의 제어 정보를 참조하세요.	AWS Control Tower 관리자, 멤버 계정 관리자

문제 해결

문제	Solution
다음과 같은 오류 메시지가 나타납니다. 알 수 없는 오류가 발생했습니다. 나중에 다시 시도하거나 AWS Support에 문의하세요.	이 오류는에서 루트 사용자 자격 증명(관리 계정) AWS Control Tower 을 사용하여 새 계정을 등록할 때 발생합니다.는 Account Factory 포트폴리오 또는 제품을 루트 사용자에게 매핑할 AWS Service Catalog 수 없으므로 오류 메시지가 표시됩니다. 이 오류를 해결하려면 루트가 아닌 전체 액세스 권한을 가진 사용자(관리자) 보안 인증을 사용하여 새 계정을 등록하십시오. 관리 사용자에게 관리 액세스 권한을 할당하는 방법에 대한 자세한 내용은 IAM Identity Center 설명서의 시작하기를 참조하세요.
AWS Control Tower 활동 페이지에는 치명적인 드리프트 가져오기 작업이 표시됩니다.	이 작업은 서비스의 드리프트 검사를 반영하며 AWS Control Tower 설정과 관련된 문제를 나타내지 않습니다. 아무 조치도 필요하지 않습니다.

문제

Solution

다음과 같은 오류 메시지가 나타납니다. 알 수 없는 오류가 발생했습니다. 나중에 다시 시도하거나 AWS Support에 문의하세요.

이 오류는에서 루트 사용자 자격 증명(관리 계정) AWS Control Tower 을 사용하여 새 계정을 등록할 때 발생합니다.는 Account Factory 포트폴리오 또는 제품을 루트 사용자에게 매핑할 AWS Service Catalog 수 없으므로 오류 메시지가 표시됩니다. 이 오류를 해결하려면 루트가 아닌 전체 액세스 권한을 가진 사용자(관리자) 보안 인증을 사용하여 새 계정을 등록하십시오. 관리 사용자에게 관리 액세스 권한을 할당하는 방법에 대한 자세한 내용은 IAM Identity Center 설명서의 시작하기를 참조하세요.

AWS Control Tower 활동 페이지에는 치명적인 드리프트 가져오기 작업이 표시됩니다.

이 작업은 서비스의 드리프트 검사를 반영하며 AWS Control Tower 설정과 관련된 문제를 나타내지 않습니다. 아무 조치도 필요하지 않습니다.